通常我们发送一个广播,都是直接
Intent intent = new Intent("action");
intent.putExtra("key", "value");
sendBroadcast(intent);
我也是一直这样用,但是这样会有风险,设想这样一种情形,A app发出一个广播甲,里面包含保密信息若干,我想获取它,怎么办呢?在知道你甲广播action的情况下,我搞一个B app,里面注册一个广播接收器,那么只要A app发出广播,B app立马可以拦截
所以,风险就是广播泄漏,怎么解决?思路如下:
1.自定义一个权限
2.发送广播时,声明需要具备这个权限的接收器才能接收这个广播
实现如下:
声明自定义权限
<!--
nama==权限名称
protectionLevel==权限级别 signature表示只有拥有相同签名文件的app才能使用该权限,防止别人知道你的权限,再次造成广播泄漏
-->
<permission
android:name="test.permission"
android:protectionLevel="signature" />
这个权限声明,网上的资料并没有明确需要放在哪个Manifest文件里面,我甚至有看到放在多个Manifest里面的。经过实验,放在哪都行(app或者module),但是只要一个地方声明即可,不要到处写
发送广播
Intent intent = new Intent("action");
intent.putExtra("key", "value");
sendBroadcast(intent, "test.permission");
在这里,需要把你声明的权限加入到sendBroadcast里面,就是告诉别人没权限不接收
接收广播
在Receiver所在的module里面的Manifest文件,引用一下声明好的自定义权限如下
<uses-permission android:name="test.permission" />
如果是静态注册
<receiver android:name=".TestBroadcastReceiver"
android:exported="false"
android:permission="test.permission">
<intent-filter>
<action android:name="action" />
</intent-filter>
</receiver>
如果是动态注册
myReceiver = new MyReceiver();
IntentFilter filter = new IntentFilter("action");
registerReceiver(myReceiver, filter, "test.permission", null);
请注意android:permission="test.permission">和registerReceiver(myReceiver, filter, "test.permission", null);这两个地方,网上的资料,都是这样的写法,但是通过实验,我发现只要Manifest引用了自定义权限,完全不需要再对同一个module的接收器声明权限,即如下
静态注册
<receiver android:name=".TestBroadcastReceiver"
android:exported="false">
<intent-filter>
<action android:name="action" />
</intent-filter>
</receiver>
动态注册
myReceiver = new MyReceiver();
IntentFilter filter = new IntentFilter("action");
registerReceiver(myReceiver, filter);
同样是可以顺利地接收到对应的广播,反之如果不在Manifest里面引用自定义权限,即便在接收器里面写了权限,也无法接收
不知道是否我代码有误,或是系统版本问题(目前尝试了7.0、8.0),如果有大神知道,望斧正,感激不尽
至此,广播泄漏问题初步解决
网友评论